Policy för datalagring

In complement op artikel 'Uw privacy':

Als u een personligt övningsprogram anvraagt i appen, dan registrert u sig met uw naam, e-mailadres en geboortedatum. Dessa uppgifter används endast för att göra ditt personliga träningsprogram tillgängligt. Behandlingen av dessa uppgifter i appen är av hög nivå. Physitrack är en app för zorgaanbiedare. Därför har Hifysio, den praktik där vi arbetar för Fysiochecknu, inzage i era uppgifter som ni registrerar och vill ha ett träningsprogram. Zij zullen nie medewerkers van ONVZ inzage give in uw gegevens. Om ni vill att era uppgifter ska tas bort, kan ni begära detta via support@physitrack.nl.

I komplettering op artikel "Onze verantwoordelijkheid voor door u geleden verlies of schade":

Voor zover toegestaan door de wet, blir Physitrack's aansprakelijkheid onder enige garantie, voorwaarde of waarborg (met inbegrip van, zonder beperking, enige garantie, voorwaarde of waarborg van verkoopbaarheid, aanvaardbare kwaliteit, geschiktheid voor een bepaald doel, of geschiktheid voor openbaar gemaakt resultaat), of enig ander recht of rechtsmiddel, onder enige wet of geïmpliceerd in deze Servicevoorwaarden door enige wet (wettelijke garantier) is hierbij uitgesloten. Indien Physitrack aansprakelijk is onder enige Wettelijke Garanties, en wettelijke bepalingen in een contract die die de Anwendung van, of de uitoefening van, of aansprakelijkheid onder dergelijke Wettelijke Garanties uitsluit of wijzigt, blir Physitrack's aansprakelijkheid voor enige inbreuk op dergelijke Wettelijke Garanties beperkt, naar keuze van Physitrack, tot een of meer van het volgende: - indien de inbreuk betrekking hat op goederen: de vervanging van de goederen of de levering van gelijkwaardige goederen; de reparatie van dergelijke goederen; de kosten av de vervanging van de goederen of de purchasing van gelijkwaardige goederen; of de kosten av het laten repareren van de goederen; och - indien de inbreuk betrekking hat op diensten: de herlevering van de diensten of de kosten om de diensten opnieuw te laten leveren.

1. Inledning

1.1 I denna policy fastställs Physitrack PLC:s (nedan kallat "företaget") policy och förfaranden för lagring, arkivering och radering av uppgifter, oavsett om de är i pappersform eller digital form, inklusive personuppgifter.

1.2 Företaget omfattas av en rad lagstadgade skyldigheter i fråga om lagring av uppgifter. Å ena sidan är företaget skyldigt att bevara vissa kategorier av uppgifter under en minimiperiod. Å andra sidan är det en grundläggande princip i dataskyddslagstiftningen att personuppgifter endast ska bevaras så länge som krävs. Dessutom kan lagring av vissa kategorier av uppgifter innebära en onödig säkerhetsrisk. Av dessa skäl inser företaget vikten av att formulera tydliga och specifika riktlinjer för lagring av uppgifter.

2. Definitioner

2.1 I denna policy:

(a) utsedd person: den person som är huvudansvarig för företagets hantering av lagring, arkivering och radering av uppgifter, dvs. företagets dataskyddsombud;

(b) registeransvarig: den fysiska eller juridiska person, offentliga myndighet, byrå eller annat organ som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter;

(c) personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, byrå eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning;

(d) registrerad: en identifierad eller identifierbar fysisk person; en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt genom hänvisning till en identifierare såsom ett namn, ett identifikationsnummer, lokaliseringsuppgifter, en online-identifierare eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet;

(e) "radering": permanent och oåterkallelig radering av uppgifter från alla relevanta databaser och lagringsmedier som företaget har i sin besittning eller kontroll, inklusive, om det är nödvändigt för att säkerställa att uppgifterna raderas, förstöring av relevanta lagringsmedier, och

(f) personuppgifter: all information om en registrerad person, inklusive PII.

3. Lagring, arkivering och radering av uppgifter

3.1 Företaget måste arkivera och radera uppgifter som det har i sin ägo och/eller kontroll i enlighet med bilaga 1 (Datalagringsperioder), utom i enlighet med vad som anges i detta avsnitt 3.

3.2 Utan hinder av de arkiveringsregler som anges i denna policy kan företaget behålla icke arkiverade kopior av uppgifter i den mån uppgifterna rimligen behövs i icke arkiverad form för att:

(a) fullgörandet av företagets rättsliga eller avtalsmässiga skyldigheter, och/eller

(b) fastställande, utövande eller försvar av rättsliga anspråk.

3.3 Företaget får inte radera uppgifter i den utsträckning som:

(a) företaget har en rättslig skyldighet att behålla uppgifterna;

(b) företaget har en avtalsenlig skyldighet att behålla uppgifterna (förutsatt att en sådan avtalsenlig skyldighet inte åsidosätts av en rättslig skyldighet att radera uppgifterna), och/eller

(c) Behållandet av uppgifterna är rimligen nödvändigt för att fastställa, utöva eller försvara rättsliga anspråk (förutsatt att ett sådant krav inte åsidosätts av någon rättslig skyldighet att radera uppgifterna).

4. Standardmetoder för arkivering och radering

4.1 Uppgifterna ska arkiveras med de metoder som företaget anger, utom i den mån särskilda arkiveringsmetoder föreskrivs i bilaga 1 (Lagringsperioder för uppgifter).

4.2 Uppgifterna måste raderas med företagets angivna metoder, utom i den mån som särskilda raderingsmetoder anges i bilaga 1 (Lagringsperioder för uppgifter).

5. Översyn och uppdatering av denna policy.

5.1 Informationssäkerhetschefen eller dennes delegat ska ansvara för att se över och uppdatera denna policy årligen.

5.2 Denna policy måste också ses över och uppdateras på ad hoc-basis om det rimligen är nödvändigt för att säkerställa:

(a) Företagets efterlevnad av tillämplig lag, uppförandekoder eller bästa praxis inom branschen;

(b) säkerheten för de uppgifter som lagras och behandlas av företaget, eller

5.3 Följande frågor måste beaktas vid varje översyn av denna policy:

(a) Förändringar i den rättsliga och regleringsmässiga miljön;

(b) Ändringar i eventuella uppförandekoder som företaget anslutit sig till;

(d) Nya uppgifter som samlats in av företaget;

(e) alla nya databehandlingsaktiviteter som företaget genomför, och

(f) eventuella säkerhetsincidenter som påverkar företaget.

BILAGA 1 (LAGRINGSPERIODER)

1. Inledning

1.1 I denna bilaga 1 fastställs de metoder som företaget ska använda när det arkiverar och raderar personliga kunduppgifter (inklusive PII) och de perioder under vilka uppgifterna måste arkiveras och raderas av företaget.

2. Kunduppgifter: lagring, arkivering och radering.

2.1 I denna policy avses med "kunduppgifter" alla kunders och kunders patientuppgifter, inklusive men inte begränsat till kundens identitetsuppgifter (PII), bevis på kundens identitet och kundens kontaktuppgifter.

2.2 Kunddata lagras av företaget i följande databaser: För varje geografiskt datacenter där Physitrack -applikationsdata lagras kommer kunddata att lagras i SQL-baserade databashanteringssystem, konfigurerade i ett mönster med hög tillgänglighet.

2.3 Kunddata ska arkiveras dagligen.

2.4 Kunddata måste raderas 30 dagar efter det att avtalet avslutats. Inom denna period är den personuppgiftsansvarige skyldig att extrahera eventuella uppgifter om det behövs.

2.5 Kunddata måste raderas genom att säkerhetskopiorna raderas från lagringsmediet efter ett år efter det att avtalet har upphört att gälla.

Senast uppdaterad: 8 augusti 2022

Lagring av uppgifter

Hur länge kommer ni att använda mina personuppgifter?

Vi kommer att behålla dina personuppgifter så länge som det rimligen är nödvändigt för att uppfylla de syften som vi samlade in dem för, inklusive för att uppfylla avtalsenliga, juridiska, regulatoriska, skattemässiga, redovisnings- eller rapporteringskrav. Vi kan komma att behålla dina personuppgifter under en längre period i händelse av ett klagomål eller om vi rimligen tror att det finns en möjlighet till en rättstvist i samband med vår relation med dig.

För att fastställa lämplig lagringstid för personuppgifter tar vi hänsyn till mängden, arten och känsligheten av personuppgifterna, den potentiella risken för skada från obehörig användning eller utlämnande av dina personuppgifter, de ändamål för vilka vi behandlar dina personuppgifter och om vi kan uppnå dessa ändamål på annat sätt samt tillämpliga rättsliga, regulatoriska, skattemässiga, bokföringsmässiga eller andra krav.

Uppgifter om lagringsperioder för olika aspekter av dina personuppgifter finns i vår policy för lagring av uppgifter https://www.physitrack.com/data-retention-policy När den lämpliga lagringsperioden har löpt ut raderar vi dina uppgifter på ett säkert sätt.

Under vissa omständigheter kan du be oss att radera dina uppgifter: se avsnittet "Dina juridiska rättigheter" i denna policy för mer information.

Under vissa omständigheter kommer vi att anonymisera dina personuppgifter (så att de inte längre kan kopplas till dig) för forsknings- eller statistiska ändamål, och i så fall kan vi använda dessa uppgifter på obestämd tid utan att meddela dig.

EU-representant

Vår representant inom EU när det gäller våra skyldigheter enligt europeisk dataskyddslagstiftning är Physiotools Oy, som är registrerat i Finland med organisationsnummer 0491074-9 och vars adress är Kehräsaari B, 5th Floor, 33200 Tammerfors, Finland. E-post: data.protection@physiotools.com

Ingen avgift krävs vanligtvis

Du behöver inte betala någon avgift för att få tillgång till dina personuppgifter (eller för att utöva någon av de andra rättigheterna). Vi kan dock ta ut en rimlig avgift om din begäran är uppenbart ogrundad, repetitiv eller överdriven. Alternativt kan vi vägra att uppfylla din begäran under dessa omständigheter.

Vad vi kan behöva av dig

Vi kan behöva begära specifik information från dig och följa vissa förfaranden för att hjälpa oss att verifiera begäran, bekräfta din identitet och säkerställa din rätt att få tillgång till dina personuppgifter (eller att utöva dina andra rättigheter). De verifieringsåtgärder som vi vidtar kan skilja sig åt beroende på ditt bosättningsland och begäran. Vi kommer att matcha den information som du lämnar i din begäran med information som vi redan har i våra register för att verifiera din identitet. Om vi kan verifiera din begäran kommer vi att behandla den i enlighet med tillämplig lag. Om vi inte kan verifiera din begäran kan vi be dig om ytterligare information för att hjälpa oss att verifiera din begäran. Detta är en säkerhetsåtgärd för att säkerställa att personuppgifter inte lämnas ut till någon person som inte har rätt att få dem. Vi kan också komma att kontakta dig för att be dig om ytterligare information i samband med din begäran för att påskynda vårt svar.

Tidsgräns för att svara

Vi kommer att svara på din begäran inom den tidsperiod som krävs enligt tillämplig lag. Vi försöker svara på alla legitima förfrågningar inom en månad. Ibland kan det ta längre tid än en månad om din begäran är särskilt komplex eller om du har gjort flera förfrågningar. I så fall kommer vi att meddela dig och hålla dig uppdaterad.

Överväganden i Förenta staterna

Identifierbar patientinformation i USA behandlas som skyddad hälsoinformation (enligt definitionen i 45 C.F.R. § 160.103) ("PHI") som regleras av den amerikanska Health Insurance Portability and Accountability Act från 1996, i dess ändrade lydelse, och dess genomförandebestämmelser ("HIPAA"). PHI hanteras av oss i enlighet med våra HIPAA-affärsavtal ("BAA:s") med de berörda hälsovårdande läkarna.

I USA använder och behåller vi all PHI som vi får som personuppgiftsbiträden för att tillhandahålla och förbättra tjänsterna och våra produkter och tjänster i den utsträckning som tillåts av HIPAA och tillämpliga avtal med våra kunder. Vi använder och avslöjar PHI i enlighet med HIPAA och tillämpliga BAA:er.

I USA kan vi också avslöja PHI i enlighet med HIPAA och tillämpliga BAA:s eller enligt dina anvisningar. Du är ensam ansvarig för varje utlämnande av dina personuppgifter som du initierar med hjälp av tjänsterna.

Överväganden i Australien

Om Australian Privacy Act 1988 (Cth) (Privacy Act) är tillämplig på hanteringen av dina personuppgifter gäller denna klausul.

I denna sekretesspolicy ska alla hänvisningar till "särskilda kategorier av personuppgifter" betraktas som hänvisningar till "känslig information" enligt sekretesslagen. Vi kommer att samla in, använda eller avslöja känslig information om dig endast i enlighet med vad som är tillåtet enligt lag, till exempel om vi har fått ditt samtycke till detta eller om insamlingen krävs eller är tillåten enligt lag.

I enlighet med avsnitt 7 (Internationella överföringar) i denna sekretesspolicy kan vi överföra dina personuppgifter till utländska mottagare (dvs. utanför Australien) i de länder som anges i listan över Physitracks tredjepartsleverantörer (underbiträden) som finns här https://support.physitrack.com/article/721-what-types-of-data-are-stored-by-physitrack.

Överväganden i Nya Zeeland

Om den nyzeeländska sekretesslagen från 2020 (NZ Privacy Act) gäller för hanteringen av dina personuppgifter gäller detta avsnitt.

Vi kommer också att följa den nyzeeländska koden för skydd av hälsoinformation 2020 (HIP Code) när vi samlar in din hälsoinformation.

Vi samlar in personuppgifter direkt från dig om inte (i) du har godkänt insamling av personuppgifter från en tredje part, (ii) det inte skulle skada dig att insamlingen sker via en tredje part, (iii) insamling från dig skulle skada syftet med insamlingen, eller (iv) det inte är rimligt genomförbart att samla in från dig och informationen inte kommer att användas i en form som gör att du kan identifieras.

I enlighet med avsnitt 7 (Internationella överföringar) i denna sekretesspolicy kan vi överföra dina personuppgifter till utländska mottagare (dvs. utanför Nya Zeeland) i de länder som anges i listan över Physitracks tredjepartsleverantörer (underbiträden) som finns här https://support.physitrack.com/article/721-what-types-of-data-are-stored-by-physitrack.

Ordlista

LAGLIG GRUND

Med lagligt intresse avses vårt företags intresse av att bedriva och hantera vår verksamhet så att vi kan ge dig den bästa tjänsten/produkten och den bästa och säkraste upplevelsen. Vi ser till att vi överväger och balanserar alla potentiella konsekvenser för dig (både positiva och negativa) och dina rättigheter innan vi behandlar dina personuppgifter för våra lagliga intressen. Vi använder inte dina personuppgifter för verksamhet där våra intressen väger tyngre än konsekvenserna för dig (såvida vi inte har ditt samtycke eller på annat sätt är skyldiga eller tillåtna enligt lag). Du kan få mer information om hur vi bedömer våra lagliga intressen mot eventuella konsekvenser för dig när det gäller specifika aktiviteter genom att kontakta oss.

Fullgörande av avtal innebär behandling av dina uppgifter när det är nödvändigt för att uppfylla ett avtal som du är part i eller för att vidta åtgärder på din begäran innan ett sådant avtal ingås.

Att uppfylla en rättslig förpliktelse innebär att dina personuppgifter behandlas när det är nödvändigt för att uppfylla en rättslig förpliktelse som vi är underkastade.

TREDJE PART

DINA JURIDISKA RÄTTIGHETER

Beroende på var du bor kan du ha rätt till:

Begära tillgång till dina personuppgifter (allmänt känt som en "begäran om tillgång till personuppgifter"). Detta gör det möjligt för dig att få en kopia av de personuppgifter som vi har om dig och att kontrollera att vi behandlar dem lagligt.

Begära rättelse av de personuppgifter som vi har om dig. Detta gör det möjligt för dig att få ofullständiga eller felaktiga uppgifter som vi har om dig korrigerade, även om vi kan behöva kontrollera att de nya uppgifter som du lämnar till oss är korrekta.

Begära att dina personuppgifter raderas. Detta gör det möjligt för dig att be oss radera eller ta bort personuppgifter om det inte finns någon god anledning för oss att fortsätta behandla dem. Du har också rätt att be oss radera eller ta bort dina personuppgifter om du framgångsrikt har utövat din rätt att invända mot behandlingen (se nedan), om vi kan ha behandlat dina uppgifter olagligt eller om vi är skyldiga att radera dina personuppgifter för att följa lokal lagstiftning. Observera dock att vi kanske inte alltid kan uppfylla din begäran om radering av särskilda rättsliga skäl som kommer att meddelas dig, om tillämpligt, vid tidpunkten för din begäran.

Invända mot behandling av dina personuppgifter när vi åberopar ett lagligt intresse (eller en tredje parts intresse) och det finns något i din särskilda situation som gör att du vill invända mot behandlingen på denna grund eftersom du anser att den påverkar dina grundläggande rättigheter och friheter. Du har också rätt att invända om vi behandlar dina personuppgifter för direkt marknadsföring. I vissa fall kan vi visa att vi har tvingande legitima skäl att behandla dina uppgifter som går före dina rättigheter och friheter.

Begära att behandlingen av dina personuppgifter begränsas. Detta gör det möjligt för dig att be oss att avbryta behandlingen av dina personuppgifter i följande fall:

Om du vill att vi ska kontrollera att uppgifterna är korrekta.
Om vår användning av uppgifterna är olaglig men du inte vill att vi ska radera dem.
Om du behöver att vi behåller uppgifterna även om vi inte längre behöver dem, eftersom du behöver dem för att fastställa, utöva eller försvara rättsliga anspråk.
Du har invänt mot att vi använder dina uppgifter, men vi måste kontrollera om vi har övervägande legitima skäl att använda dem.

Om du vill utöva någon av de rättigheter som anges ovan kan du kontakta oss via e-post: dpo@physitrack.com.

Begära överföring av dina personuppgifter till dig eller till en tredje part. Vi kommer att ge dig, eller en tredje part som du har valt, dina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format. Observera att denna rättighet endast gäller automatiserad information som du ursprungligen gav ditt samtycke till att vi använder eller där vi använde informationen för att fullgöra ett avtal med dig.

Återkalla samtycke när som helst om vi förlitar oss på samtycke för att behandla dina personuppgifter. Detta kommer dock inte att påverka lagligheten av den behandling som utförts innan du återkallar ditt samtycke. Om du återkallar ditt samtycke kan det hända att vi inte kan tillhandahålla vissa produkter eller tjänster till dig. Vi kommer att informera dig om detta när du återkallar ditt samtycke.

‍

Om du eller din praktik är baserad i USA gäller den amerikanska versionen av våra Användarvillkor och den amerikanska versionen av våra slutanvändarvillkor gäller för dig.
‍
Om du eller din mottagning inte finns i USA gäller utanför USA-versionen av våra användarvillkor och utanför USA-versionen av våra slutanvändarvillkor gälla för dig.

Tillverkarens namn:

Physitrack PLC

Registrerat varumärke:

Physitrack

Tillverkarens adress:

Bastion House, 6th Floor
125 London Wall
London EC2Y 5DN
United Kingdom

Enhetens namn:

Physitrack Programvaruplattform

Klassificering:

Klass: I (enligt direktivet om medicintekniska produkter (93/42/EEG)

Väg för bedömning av överensstämmelse:

Physitrack PLC tillämpade förfarandena för CE-märkning av produkten i enlighet med rådets direktiv 93/42 (EEG) och rådets förordning (EU) 2017/745 om medicintekniska produkter

GMDN-kod:

Programvara för övervakning/rapportering av egenvård - 58884

Vi förklarar härmed att den medicintekniska produkt (Programvara) som anges ovan uppfyller bestämmelserna i rådets direktiv nr 93/42/EEG för medicintekniska produkter och är utfärdat på eget ansvar av Physitrack PLC.

Programvaran som medicinteknisk produkt som omfattas av den nuvarande EU-försäkran är i överensstämmelse med (EU) MDR 2017/745.

All dokumentation för denna EG-försäkran om överensstämmelse bevaras i tillverkarens dokumenthanteringssystem.

Breht McConville
Chief Compliance Officer
Physitrack PLC

Observera att om du läser en översatt version av denna policy, har texten i den engelska versionen av denna policy alltid företräde.